Un programme de fidélité collecte et traite des données personnelles : prénom, email, historique d'achats, date d'anniversaire. Cela le place sous le Règlement Général sur la Protection des Données (RGPD). En 2026, la CNIL a durci ses contrôles sur les commerces de proximité et les sanctions peuvent atteindre 20 000 € pour une PME. Voici le guide pratique pour être en règle sans avocat.
Les 4 obligations RGPD d'un programme de fidélité
1. Consentement explicite à la collecte
Le client doit expressément accepter de vous donner ses données. La case « J'accepte les conditions d'utilisation » est obligatoire et doit être non pré-cochée (interdit par la CNIL). Le texte des conditions doit mentionner clairement : quelles données sont collectées, à quoi elles servent, combien de temps elles sont conservées.
Avec HanyPass, cette étape est automatique : le formulaire d'inscription à la carte de fidélité inclut le consentement RGPD conforme, avec renvoi vers votre politique de confidentialité.
2. Hébergement des données
Depuis l'arrêt Schrems II (2020), héberger des données personnelles européennes sur des serveurs américains est problématique juridiquement. La solution : choisir un outil avec hébergement EU. HanyPass utilise Supabase avec serveurs en Irlande et en Allemagne. Aucune donnée ne quitte l'Union européenne.
3. Droit d'accès et de suppression
Tout client peut demander à consulter les données que vous détenez sur lui, à les corriger, à les exporter, à les supprimer. Vous avez 30 jours pour répondre. Avec HanyPass, votre client accède à ses données directement depuis sa carte Wallet (bouton « Mes données »), peut les télécharger ou les supprimer lui-même. Zéro charge administrative de votre côté.
4. Contrat de sous-traitance (DPA)
Si vous utilisez un outil tiers pour traiter les données (c'est le cas d'un SaaS de fidélité), vous devez signer un DPA (Data Processing Agreement) avec ce prestataire. HanyPass fournit un DPA automatiquement à tous ses clients — vous le recevez à l'inscription.
Les 3 erreurs RGPD les plus fréquentes des commerçants
La CNIL publie chaque année les principales infractions constatées. Voici les 3 pièges les plus courants pour les commerçants de proximité :
Erreur 1 : collecter trop d'informations
Certains commerçants demandent l'adresse postale, la date de naissance complète, le numéro de téléphone. Si ces données ne sont pas nécessaires au programme, vous ne devez pas les collecter (principe de minimisation). Pour un programme de fidélité, prénom + email suffisent. La date d'anniversaire (mois/jour, pas année) peut être ajoutée si vous faites des bonus anniversaire.
Erreur 2 : conserver les données indéfiniment
La durée de conservation doit être cohérente avec l'usage. Pour un programme de fidélité, 3 ans après la dernière transaction est une durée raisonnable. Au-delà, vous devez anonymiser ou supprimer les données. HanyPass applique automatiquement cette règle : les clients inactifs depuis > 3 ans sont archivés avec données anonymisées.
Erreur 3 : revendre ou partager les données
Les données de votre programme de fidélité vous appartiennent (au sens responsable de traitement) mais ne peuvent pas être revendues sans consentement explicite des clients. Pas de partage avec d'autres commerçants locaux, pas de transmission à des plateformes publicitaires. C'est une règle absolue qui a valu des amendes lourdes ces dernières années.
La checklist RGPD en 8 points pour un commerce
- ✅ Votre formulaire d'inscription a une case RGPD non pré-cochée.
- ✅ Vous avez une politique de confidentialité sur votre site ou affichée en caisse.
- ✅ Vos données sont hébergées en Union européenne.
- ✅ Vous avez un DPA signé avec votre prestataire SaaS.
- ✅ Vos clients peuvent accéder à leurs données sur demande.
- ✅ Vos clients peuvent supprimer leur compte à tout moment.
- ✅ Vous collectez uniquement les données nécessaires (principe de minimisation).
- ✅ Vous n'envoyez pas les données à des tiers sans consentement explicite.
Avec HanyPass, les points 1, 3, 4, 5, 6, 7 sont automatiques. Les points 2 et 8 dépendent de vos propres pratiques (publier une politique de confidentialité et ne pas revendre les données).
Que risquez-vous en cas de non-conformité ?
La CNIL peut sanctionner une infraction RGPD selon trois niveaux pour un commerce de proximité :
- Avertissement : pour une première infraction mineure, souvent accompagné d'une mise en demeure de corriger sous 60 jours.
- Amende administrative : jusqu'à 20 millions d'euros ou 4 % du CA mondial, mais pour un commerce de proximité, les amendes effectives vont de 2 000 € à 50 000 €.
- Action en groupe : si plusieurs clients portent plainte pour atteinte à leur vie privée, une action collective peut aboutir à des dommages et intérêts en plus de l'amende CNIL.
Dans la pratique, la CNIL privilégie la pédagogie et laisse 60 jours pour se mettre en conformité après un signalement. Mais compter sur cette clémence sans jamais se préoccuper du sujet est risqué.
En résumé
Le RGPD n'est pas un obstacle à un programme de fidélité — c'est un cadre qui protège à la fois vos clients et vous-même (en cas de litige, vous êtes protégé si vous êtes conforme). Les 8 points de la checklist ci-dessus sont suffisants pour être en règle sans faire appel à un avocat spécialisé.
En choisissant un outil conçu RGPD-native comme HanyPass (hébergement EU Supabase, DPA automatique, droit d'accès intégré), vous couvrez 80 % des obligations sans effort. Les 20 % restants (politique de confidentialité, non-revente) sont à votre charge mais simples à traiter.
Lancez votre programme de fidélité RGPD-compliant gratuitement. Plan Découverte jusqu'à 10 clients, DPA fourni à l'inscription, données en Europe dès le premier jour.